Especialistas en ciberseguridad han encontrado al menos 14 vulnerabilidades de seguridad en NicheStack, una popular biblioteca TCP/IP empleada en equipos industriales y dispositivos OT fabricados por más de 200 proveedores. Este conjunto de fallas, identificado como INFRA:HALT, fue descubierto por equipos de seguridad de Forescout y JFrog.
Como algunos sabrán, NicheStack es una biblioteca en C desarrollada por HCC Embedded que puede ser agregada al firmware de un dispositivo para facilitar la conectividad a Internet y otras funciones de red. Este tipo de bibliotecas son comunes en miles de dispositivos, aunque la comunidad de la ciberseguridad pocas veces se enfoca en las fallas de esta tecnología.
Hace un par de años se detectaron algunas fallas similares en pilas TCP/IP comunes, por lo que los investigadores de Forescout decidieron lanzar el Proyecto Memoria con el fin de analizar fallas en las pilas TCP/IP más populares. Esta investigación permitió encontrar las fallas INFRA:HALT.
Mientras las investigaciones anteriores se enfocaron en el hallazgo de vulnerabilidades en dispositivos de Internet de las Cosas (IoT) convencionales, esta vez el proyecto se centró en la detección de fallas en implementaciones industriales, incluyendo minas, tuberías y plantas de tratamiento de agua. Según el reporte, la explotación exitosa de las fallas INFRA:HALT permite la ejecución remota de código, ataques de denegación de servicio (DoS), extracción de información confidencial e incluso ataques de envenenamiento de caché DNS.
Los expertos mencionan que la explotación exitosa de estas fallas requiere que los actores de amenazas obtengan acceso a una red OT, un entorno separado de las redes internas y cuya implementación se recomienda con fines de seguridad industrial. Si bien esta es una medida de seguridad recomendada, esta condición no se extiende a los dispositivos industriales expuestos en línea, que pueden ser empleados como punto de entrada para los hackers.
Un escaneo en la red identificó al menos 6,400 dispositivos OT potencialmente vulnerables a estas fallas, especialmente mediante la explotación de CVE-2020-25928 y CVE-2021-31226. Estas dos vulnerabilidades permitirían a los actores de amenazas tomar control de los dispositivos afectados.
Aunque este escenario parece desastroso, muchos de los fabricantes afectados ya han lanzado parches de seguridad para corregir todas las fallas abordadas. La principal desventaja es que para el momento en que se lancen actualizaciones de firmware completas, los actores de amenazas podrían haber explotado estas vulnerabilidades en escenarios reales. Es por ello que se recomienda a los usuarios de implementaciones afectadas implementar los parches disponibles a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.